《数据交易合规评估规范》.docx

ICS03.160CCSL70DB4403深圳市地方标准DB4403/T5642024数据交易合规评估规范DatatransactionscompIianceassessmentspecification2024-12-20发布2025-01-01实施深圳市市场监督管理局发布目次前言II引言III1范围12规范性引用文件13术语和定义14评估原则35评估框架36评估等级47主体合规评估48标的合规评估89流通合规评估1510评估过程要求19附录A（资料性）数据交易合规评估建议文档21参考文献24本文件按照GB/T1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由深圳市政务服务和数据管理局、深圳市司法局提出并归口。本文件起草单位：深圳数据交易所有限公司、深圳市福田区司法局、中国电子技术标准化研究院、公安部第三研究所、深圳市北鹏前沿科技法律研究院、深圳市标准技术研究院、中兴通讯股份有限公司、蚂蚁区块链科技（上海）有限公司、华为云计算技术有限公司、深圳市腾讯计算机系统有限公司、普华永道管理咨询（上海）有限公司深圳分公司、荣耀终端有限公司、深圳华大基因科技有限公司、中国电子信息产业集团有限公司、比亚迪股份有限公司、阿里云计算有限公司、华润数科控股有限公司、天职国际会计师事务所（特殊普通合伙）、奇安信科技集团股份有限公司、OPPo广东移动通信有限公司、深圳市蓝海法律查明和商事调解中心、安永（中国）企业咨询有限公司、北京小米移动软件有限公司。本文件主要起草人：王青兰、张平、张颖、王艺、陈一羊、胡靖卓、胡敏吉吉、南红玉、龙军、余潮、李兰兰、谭丽、肖声高、王显军、刘山泉、代旻、廖激璘、李红光、古亮、张文娟、赵阳、王冠、赵亮、王腾。数据要素市场化改革是深化改革开放中所面临的重点。随着数据要素市场化改革序幕的开启，各类数据交易逐渐浮出水面，数据交易合规难点也日渐凸显，如场外黑灰产盛行难以监管、数据交易合规具体规则缺失、数据交易合规人才稀缺导致入场成本高、数据权益保护与利用的两难等。本文件针对数据交易主体、标的与流通过程中面临的合规要点，根据中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法等法律法规，分别从合法、安全、诚信、权益保障四个维度辅助数据交易主体、第三方法律服务机构开展合规评估工作，旨在为数据交易活动提供一套较为全面的合规评估方法与标准，同时赋能数据交易主体参照合规标准，安全、合规、高效地开发和利用数据资源。对文件中的具体事项，法律法规等另有规定的，需遵照其规定执行。数据交易合规评估规范1范围本文件规定了数据交易合规评估的评估原则、评估框架、评估等级、主体合规评估要求、标的合规评估要求、流通合规评估要求以及评估过程要求。本文件适用于主管部门和监督管理部门、交易主体、第三方法律服务机构、数据交易场所等数据交易相关方管理和实施的数据交易合规评估活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T222392019信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T33770.6-2021信息技术服务外包第6部分：服务需求方通用要求GB/T352732020信息安全技术个人信息安全规范GB/T35295信息技术大数据术语GB/T41479-2022信息安全技术网络数据处理安全要求GB/T43697-2024数据安全技术数据分类分级规则DB4403/T2712022公共数据安全要求DB4403/T4392024公共数据安全评估方法3术语和定义GB/T25069、GB/T35295界定的以及下列术语和定义适用于本文件。3 .1数据data任何以电子或其他方式对信息的记录。注：数据在不同视角下表现为原始数据、衍生数据、数据资源、数据产品、数据资产、数据要素等形式。4 .2个人信息personaIinformation以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。来源：中华人民共和国个人信息保护法，第4条注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、个人上网记录（操作点击记录、浏览记录、收藏记录）、设备信息等，不包括匿名化处理后的信息。注2：关于个人信息的判定方法、相关术语、子分类，参见GB/T352732020附录A。注3：个人信息处理者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映自然人活动情况的，属于个人信息。敏感个人信息sensitivepersonaIinformation一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。注：包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。3.4重要数据importantdata特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。3.5公共数据pubIicdata各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。3.6数据产品dataproduct用于交易的加工处理后的数据衍生产品。注：广义的数据产品是指基于数据加工形成的，可满足特定需求的数据加工品和数据服务。本文件中的数据产品是指狭义的数据产品。3.7第三方法律服务机构third-Partylegalserviceprovider辅助数据交易活动有序开展，依法取得执业许可，为数据交易合规评估提供法律服务的法人或非法人组织。3.8交易主体subjectoftransaction数据交易活动中的数据卖方、数据买方和数据商。注：数据卖方是指出售交易标的的法人或非法人组织。数据买方是指购买交易标的的法人或非法人组织。数据商是指从各种合法来源收集或维护数据，经汇总、加工、分析等处理转化为交易标的，向买方出售或许可；或为促成并顺利履行交易，向委托人提供交易标的发布、承销等服务，合规开展业务的企业法人。3.9数据主体subjectofdata个人信息所标识或关联的自然人、在生产经营活动中采集加工企业数据的各类市场主体，以及在依法履职或提供公共服务过程中产生、处理公共数据的各级党政机关、企事业单位。3. 10交易标的objectoftransaction数据卖方或数据商与数据买方交易的对象。注1：交易标的包括数据产品、数据服务、数据工具等。注2：数据服务是指数据卖方或数据商提供数据处理（收集、存储、使用、加工、传输等）的服务。注3：数据工具是指可实现数据服务的软硬件工具。3.11数据交易datatransaction数据卖方和买方之间进行的，以数据或者数据各类形态为标的的交易行为。3. 12数据交易场所datatransactionsvenue按照相关法律法规和数据交易监督管理部门的规定等，为数据集中交易提供基础设施和基本服务的机构。4评估原则4. 1合法原则数据交易合规评估依法合规开展，维护国家安全、公共利益，保护组织和个人的合法权益。若法律法规对数据交易合规评估另有规定的，从其规定。4.2客观公正原则数据交易合规评估真实和准确地反映数据交易活动现状，不带评估人员个人偏见，以确保评估意见仅建立在评估证据的基础上。4. 3保密原则评估人员审慎使用和保护在评估过程获得的信息。4.4安全防护原则交易主体采取数据安全保护、检测和响应等措施，防止数据丢失损毁、泄露和篡改，确保数据安全。5评估框架根据相关法律法规等规定，结合数据交易过程，数据交易合规评估首先针对交易主体的相关情况进行评估（见第7章），再针对交易标的的相关情况进行评估（见第8章），最后针对交易主体之间的交易标的流通相关情况进行评估（见第9章）。每个环节均会从合法、安全、诚信、权益保障四个维度进行评估，评估过程包括评估准备、评估实施、评估报告三个阶段（见第10章），评估框架见图1。图1数据交易合规评估参考框架图6评估等级6. 1通则6.1.1 数据交易合规评估涵盖数据交易的主体、标的和流通三个环节，每个环节均应满足合法、安全、诚信、权益保障四个维度的要求。合法维度不划分等级，为必选要求。其他维度根据对数据交易评估要素要求的叠加，依次递增并划分为A级、AA级、AAA级三个等级。6.1.2 经合规评估，四个维度中有任一维度未达到A级要求的，评估结果为“不符合数据交易合规要求”。6.2 第一级：A级数据交易的主体、标的、流通三个环节在合法、安全、诚信、权益保障四个维度上均满足适用的法律法规等规定和强制性国家标准的要求。6.3 第二级：AA级数据交易的主体、标的、流通三个环节在合法、安全、诚信、权益保障四个维度上满足“A级”的全部要求，并满足适用的推荐性国家标准的要求。1.1.2 4第三级：AAA级数据交易的主体、标的、流通三个环节在合法、安全、诚信、权益保障四个维度上满足“AA级”的全部要求，且额外采取了可以明显提升数据交易合规程度的措施。7.1 合法维度评估7.1.1 交易主体应依法成立、有效存续并合法经营，满足以下要求：a）交易主体依法取得的营业执照或相关登记证书应合法有效，非中国大陆企业应提供同等类型合法证照；b）交易主体的经营业务若属于法律、行政法规规定须经批准或获取特定行业资质的项目，应依法经过批准或获取特定行业资质，且在有效期内；c）若在数据交易场所开展交易，数据卖方应通过数据交易场所认证为数据商，或通过已认证数据商保荐，方可在数据交易场所开展数据交易。7.1.2 评估交易主体在合法维度所需的相关文件资料，可见附录A。7.2 安全维度评估7. 2.1通则7.1.1.1 交易主体应至少满足A级要求。7. 2.1.2交易主体在满足A级要求的基础上，可以自主选择按照AA级、AAA级评估等级进行合规评估。交易主体选择AA级评估等级的，应同时满足A级和AA级标准要求；选择AAA级评估等级的，应同时满足A级、AA级和AAA级标准要求。各评估等级对应的安全要求见表1。7. 2.1.3若数据商仅提供交易标的发布、承销等服务，不参与交易标的处理或交付环节的，可以不进行安全维度评估。1.1.3 2.1.4评估交易主体在安全维度所需的相关文件资料，可见附录A。表1主体安全合规义务清单级别安全要求A级A级标准要求（第7.2.2）AA级A级标准要求（第7.2.2）.AA级标准要求（第7.2.3）AAA级A级标准要求（第7.2.2）、AA级标准要求（第7.2.3）、AAA级标准要求（第7.2.4）7.2.2 A级标准交易主体满足以下要求：a）交易主体应制定数据安全工作的总体方针，阐明组织数据安全工作的目标、范围、原则和安全框架等相关内容；b）交易主体应制定主要数据处理活动的安全管理制度；注：主要数据处理活动是指主营业务涉及的数据处理活动，处理员工个人信息不属于此范围。c）交易主体应对数据管理人员